Foutmelding - Revocation check failed

Na installatie van uw certificaat in Exchange 2010 kunt u geen services aan het certificaat toewijzen vanuit de console. De volgende melding verschijnt: The certificate status could not be determined because the revocation check failed. Services toewijzen via PowerShell is wel mogelijk.

Foutmelding Revocation check failed

Oorzaak

Exchange is niet in staat verbinding te maken met de revocation server van uw certificaat. Omdat de geldigheid hierdoor niet goed genoeg gecontroleerd kan worden kunt u het certificaat niet toewijzen vanuit de management console. De mogelijke oorzaken hiervoor zijn divers;

Een netwerk of internet storing
CRL/OCSP probleem bij de CA
Incorrecte installatie van root en intermediate certificaten
Verouderde CRL informatie op de server
Een configuratie fout in de gebruikte netwerk of proxy instellingen

Oplossingen

Een netwerk of internet storing
Controleer ten eerste of de gebruikte server over een werkende internetverbinding beschikt. Als dit niet het geval is dan verwijzen wij u naar uw netwerkbeheerder of uw internet provider om dit probleem te verhelpen.

CRL/OCSP probleem bij de CA
De CRL van uw certificaat kunt u zelf controleren met een browser.
Om het adres van de CRL te achterhalen opent u het certificaat door hierop te dubbelklikken en vervolgens te gaan naar het tabblad Details. Scroll hier naar de regel CRL-Distriubtiepunten en kopieer de getoonde URL:

Foutmelding Revocation check failed

Surf vervolgens met een browser naar dit adres. Als deze correct werkt krijgt u een CRL-bestand aangeboden. In het bovenstaande voorbeeld zou dit het bestand PositiveSSLCA2.crl zijn.

Incorrecte installatie van root en intermediate certificaten
Om de installatie van deze certificaten te controleren kunt u onze installatie instructies doorlopen.

Verouderde CRL informatie op de server
Windows servers en workstations houden een cache bij waarin CRL's worden opgeslagen. Het is mogelijk dat deze cache verlopen is, maar toch niet wordt vernieuwd door Windows. Om dit te forceren kunt u de aanwezige entries handmatig laten verlopen. Hiervoor kunt u het onderstaande commando gebruiken vanuit een command prompt met Admin rechten:certutil -setreg chain\ChainCacheResyncFiletime @now

Een configuratie fout in de gebruikte netwerk of proxy instellingen
Het is mogelijk dat de server de CRL niet kan controleren, zelfs als u deze met een browser vanaf de server wel kunt bereiken. In deze gevallen is het mogelijk dat er voor het Local system account foutief een proxy is ingesteld. Om na te gaan of dit het geval is, moet Internet Explorer gestart worden vanaf dit account. Hoe u dit kunt doen staat in onderstaande stappen beschreven:

Start een command prompt met Administrator rechten.
Geef het volgende commando op om een test service aan te maken die onder het local system account draait:sc create testsvc binpath= "cmd /K start" type= own type= interact
Start de aangemaakte service vervolgens met het commando: sc start testsvc
U krijgt mogelijk een foutmelding [SC] StartService failed 1053, deze kan veilig genegeerd worden
Klik op het Interactive Services Detection icoon en klik op view message
U krijgt nu een command prompt die draait als Local System; de desktop word tijdelijk niet weergegeven.
Start vanuit deze prompt Internet Explorer op met het commando:

"c:\Program Files (x86)\Internet Explorer\iexplore.exe"
Als Internet Explorer gestart is gaat u naar het menu Tools → Internet options → Connections → Lan Settings.
Controleer de aanwezige instellingen en pas deze aan waar nodig.
Sluit Internet Explorer af, maar laat de commando prompt open zodat de aanwezige caches geleegd kunnen worden.
Om OCSP cache te legen voert u uit:

certutil -urlcache ocsp delete
Om het CRL cache te legen voert u uit:

certutil -urlcache crl delete
De command prompt kan nu worden gesloten, gebruik hiervoor het commando exit.
U komt nu terug in het Interactive Services Detection venster.
Klik hier op Return Now.